Tradiční bezpečnostní audity to prostě neřeší inteligentní smlouvy.
"Sázky jsou příliš vysoké," řekl Ponožkové peníze, jeden z mnoha přispěvatelů, kteří vytvářejí decentralizovanou platformu auditu s názvem Code4rena. The DAO je průkopníkem nového modelu navrženého společností Scott Lewis a Zak Cole, kde auditoři soutěží o to, aby se chyby nedostaly do živého kódu.
A to je zásadní pro chytré smlouvy, které pohánějí decentralizované finance (DeFi). Zatímco neobjevená softwarová chyba může způsobit selhání programu nebo jiný provozní problém, chyba inteligentní smlouvy v protokolu DeFi nebo výměně aktiv může okamžitě vést ke ztrátě stovky milionů dolarů v hodnotě žetonů.
Mořská změna
To bylo hlavní pro Otevřené moře, největší na světě NFT tržiště, dříve v tomto roce. V květnu OpenSea představila nový protokol s názvem Seaport, který má zpracovávat své transakce a pomáhat snižovat poplatky za plyn.
V plánu bylo migrovat do Seaportu z dobře zavedeného protokolu Wyvern. Ale vzhledem k objemům provozu a kryptoměnám procházejícím OpenSea – to v loňském roce dosáhla celkového objemu 10 miliard dolarů—Námořní přístav musel být důkladně otestován v bitvě, než se vrhl na skok.
Společnost OpenSea uzavřela smlouvu s bezpečnostní firmou na provedení auditu Seaportu. Ale pro tak velký krok, jako je migrace celé platformy na zbrusu nový protokol, to chtělo větší ochranu.
„Chtěli jsme, aby lidé z různých prostředí a myšlenkových procesů přišli a podívali se na chytré smlouvy holisticky,“ řekl mluvčí OpenSea. Dešifrovat. "Zejména jsme chtěli, aby se na Seaport podívali ti nejlepší z nejlepších vývojářů - a mnoho z nich nemusí nutně pracovat pro auditorské firmy."
Moudrost davu
Dokonce i špičkové bezpečnostní firmy mohou obvykle ušetřit pouze jednoho nebo dva auditory, aby zkontrolovali projekt po dobu jednoho nebo dvou týdnů, což není dostatek času ani dostatek pozornosti na důkladnou analýzu protokolu inteligentních smluv na číhající zranitelnosti.
Code4rena podněcuje obrovskou komunitu auditorů, aby hledali ty nejvzácnější a nejhodnotnější chyby, stejně jako útočníci. Ale na rozdíl od odměn za chyby je primárním cílem C4 udržet chyby mimo produkční kód.
Proto se OpenSea rozhodla sponzorovat a dvoutýdenní veřejná soutěž s Code4rena, aby se kód námořního přístavu před migrací znovu vyčistil. Výherní fond byl 1 milion dolarů.
Síla v číslech
Code4rena je DAO provozovaný přispěvateli a řízený $ARENA držitelé tokenů. Jeho přístup je zdánlivě jednoduchý: Čím více, tím lépe. Jeho model zahrnuje tři hlavní aktéry: sponzory, dozorce a soudce.
Sponzoři jako OpenSea vytvářejí cenový fond, aby přilákali dozorce k auditu jejich projektu. Strážci se prohrabávají v kódu a odhalují co nejvíce hrozeb. A nezávislí soudci, obvykle nejelitnější inženýři v komunitě C4, prověřují zjištění a rozdávají odměny dozorcům na základě jejich výkonu.
(Proces odesílání chyb je zcela anonymní, ale pro sponzory s KYC, AML nebo jinými zákonnými povinnostmi pořádá C4 také soukromé soutěže pouze pro zvané s menším počtem certifikovaných dozorců pracujících pod NDA.)
Lépe spolupracovat
Krása veřejného auditu C4 spočívá v tom, že je konkurenceschopný a kdokoli se může zúčastnit, řekl Sock.
Strážci provozují celou škálu, od hardcore bezpečnostních inženýrů přes zelené vývojáře, kteří se snaží získat více zkušeností s auditováním chytrých kontraktů, až po lidi, kteří už na kryptoměnách vydělali jmění a chtějí si jen užít trochu zábavy při lovu chyb.
"Umožňuje novým vývojářům a výzkumníkům vstoupit do prostoru auditu za rovných podmínek," řekl OpenSea Dešifrovat.
Nalezení vzácné nebo vážně špatné chyby vydělá správci více peněz než běžná chyba, kterou nahlásilo několik správců – ale každý, kdo odešle platnou chybu, dostane zaplaceno, i když tato chyba již byla nahlášena.
To je velmi odlišné od bug bounty programů, které odměňují pouze prvního člověka, který najde exploit. Pokud na stejnou chybu narazí o pár minut později někdo jiný, má smůlu.
To podporuje pocit zdravé soutěže. I když jsou dozorci motivováni k tomu, aby našli závažnější chyby, nakonec v procesu naleznou spoustu dalších chyb a za své úsilí jsou odměněni. Někteří dozorci dokonce spolupracují v ad hoc týmech.
"Můžete si to představit skoro jako esport," řekl Sock.
Při typickém auditu C4 bude více než 50 správců generovat zhruba 400 různých chybových zpráv v průběhu jednoho nebo dvou týdnů.
Pokud typická auditorská firma provádí 1-2 týdenní audity s 1-2 auditory, přináší to 40 až 160 hodin kontroly kódu. Na základě průměrů času stráveného kontrolou kódu, který sami dozorci uvedli, je nyní u většiny soutěží Code4rena minimálně 600 hodin kontroly kódu, u některých dokonce 1,000 XNUMX hodin nebo více.
Nalezeno a opraveno
Během revize protokolu Seaport společnosti OpenSea dozorci C4 odhalili více problémů které dříve zůstaly bez povšimnutí, včetně dvou, které rozhodčí C4 považovali za vysoce závažné. Jeden z těchto problémů byl nalezen osmi různými dozorci a/nebo týmy. Druhého našel jen jeden.
Několik recenzentů si například uvědomilo, že za určitých okolností mohou být objednávky, které byly vyplněny pouze částečně, zpracovány vícekrát. OpenSea napravila problém v námořním přístavu zavedením ochrany, aby čitatel a jmenovatel nikdy nemohly překročit určitou konkrétní hodnotu.
Přístav @code4rena soutěž nyní skončila — ještě jednou děkujeme mnoha recenzentům, kteří se zúčastnili!
Souhrn relevantních zjištění bude brzy zpřístupněn, ale rád bych se podělil o některá klíčová zjištění a upozornil na to, že na jejich vyřešení nasadíme Seaport v1.1.
— 0age (@z0age) Června 4, 2022
Auditoři C4 si také všimli, že spuštění dvou konkrétních chyb souvisejících s agregací plnění jedna po druhé by obešlo kontroly u obou. Potenciálně velmi špatná situace byla opravena provedením malé úpravy kontroly chyb.
Mnohé z chyb, které v kódu identifikovali dozorci Code4rena, ostatní přehlédli během několika minulých kontrol a auditů.
V červnu to OpenSea dokázala migrovat své tržiště do Seaportu s důvěrou, že všechny hlavní problémy byly nalezeny a vyřešeny, řekl zástupce OpenSea Dešifrovat.
Budoucnost práce
Kromě rychlosti, efektivity a hodnoty, které může audit C4 přinést společnostem, které chtějí zabezpečit svůj kód inteligentních smluv, je tento model také případovou studií toho, jak se mění povaha práce.
Code4rena pořádá každý týden několik auditních soutěží a zúčastnit se může kdokoli, řekl Christoph Michel (aka Cmichel), jeden z nejvyšších dozorců C4. Od února 2021, kdy Cmichel soutěžil ve své první soutěži C4, prověřil kódové základny pro přibližně 100 projektů a vydělal více než 1 milionu dolarů.
"Nemusíte žádat o povolení nebo absolvovat pracovní pohovor," řekl Cmichel. "Jediná věc, která se počítá, je, jak dobře dokážete porušit protokol."
Flexibilita je také lákavá.
"Pokud jsem zaneprázdněn jinou prací nebo si chci odpočinout, prostě v tomto týdnu nesoutěžím," řekl Cmichel. "Pro mě je to budoucnost práce."
Sponzorovaný příspěvek od Code4rena
Tento sponzorovaný článek vytvořil Decrypt Studio. Více informací o partnerství s Decrypt Studio.
Chcete být odborníkem na kryptoměny? Získejte to nejlepší z dešifrování přímo do vaší schránky.
Získejte největší kryptografické zprávy + týdenní shrnutí a další!
Zdroj: https://decrypt.co/105173/like-an-esport-how-opensea-secured-its-code-with-code4renas-audit-contest